為系統管理使用者定義特殊權限存取策略
什麼是 Privileged Identity Management (PIM)?
PIM 是 Microsoft Entra ID 中的服務,用於管理特殊權限資源的存取權。 PIM 可讓您管理、控制及監視對組織中重要資源的存取權。 包括 Microsoft Entra ID、Azure 與其他 Microsoft Online Services (如 Microsoft 365 或 Microsoft Intune) 中的資源。
PIM 有何用途?
PIM 提供以時間和核准為基礎的角色啟用來存取資源。 這有助於避免您關注的資源有過多、多餘或誤用的存取權限。 PIM 的主要功能包括:
- 提供 Microsoft Entra ID 和 Azure 資源的 Just-In-Time 特殊存取權限
- 使用開始和結束日期指派有時限的資源存取權
- 需要核准才能啟用特殊權限角色
- 強制 Azure 多重要素驗證以啟用任何角色
- 使用理由來了解使用者啟用的原因
- 在啟用特殊權限角色時獲得通知
- 進行存取權檢閱以確保使用者仍然需要角色
- 下載稽核歷程記錄以供內部或外部稽核
在組織中部署 PIM 之前,請遵循本節的指示並了解概念。 這有助於根據組織的特殊權限身分識別需求來量身打造方案。
注意
PIM 需要 Premium P2 授權。
識別專案關係人
下一節協助您識別參與專案的所有專案關係人。 您將考慮誰需要核准、檢閱或掌握最新消息。 章節中包含不同的資料表,分別適用於為 Microsoft Entra 角色部署 PIM 以及為 Azure 角色部署 PIM。 將適合組織的專案關係人新增至下表。
SO = 核准此專案
R = 檢閱此專案並提供輸入
I = 掌握此專案的最新消息
利害關係人:適用於 Microsoft Entra 角色的 Privileged Identity Management
| 名稱 | 角色 | 動作 |
|---|---|---|
| 名稱和電子郵件 | 身分識別架構師或 Azure 全域管理員 - 身分識別管理小組的代表,負責定義如何配合組織中的核心身分識別管理基礎結構來調整此變更。 | SO/R/I |
| 名稱和電子郵件 | 服務擁有者或直屬主管 - 一個服務或一組服務的 IT 擁有者代表。 這些人員是為其團隊做出決策並協助推廣 PIM 的重要人物。 | SO/R/I |
| 名稱和電子郵件 | 安全性擁有者 - 安全性小組的代表,可認同方案符合組織的安全性需求。 | SO/R |
| 名稱和電子郵件 | IT 支援經理/技術服務人員 - IT 支援組織的代表,可從技術服務人員的觀點,提供意見反應來支持此變更。 | R/I |
| 試驗使用者的名稱和電子郵件 | 特殊權限角色使用者 - 一群使用者,充當特殊權限身分識別管理的實作對象。 這些使用者必須知道如何在 PIM 實作後啟用其角色。 | I |
專案關係人:Azure 角色的 Privileged Identity Management
| 名稱 | 角色 | 動作 |
|---|---|---|
| 名稱和電子郵件 | 訂用帳戶/資源擁有者 - 您部署 PIM 所針對的每個訂用帳戶或資源的 IT 擁有者代表。 | SO/R/I |
| 名稱和電子郵件 | 安全性擁有者 - 安全性小組的代表,可認同方案符合組織的安全性需求。 | SO/R |
| 名稱和電子郵件 | IT 支援經理/技術服務人員 - IT 支援組織的代表,可從技術服務人員的觀點,提供意見反應來支持此變更。 | R/I |
| 試驗使用者的名稱和電子郵件 | Azure 角色使用者 - 一群使用者,充當特殊權限身分識別管理的實作對象。 這些使用者必須知道如何在 PIM 實作後啟用其角色。 | I |
開始使用 Privileged Identity Management
在規劃過程中,請遵循我們的「開始使用 Privileged Identity Management」文章來準備 PIM。 PIM 可讓您存取某些設計來協助您完成部署的功能。
如果您的目標是要為 Azure 資源部署 PIM,請遵循我們的「探索要在 Privileged Identity Management 中管理的 Azure 資源」文章。 只有訂閱和管理群組的擁有者可以使用 PIM 管理這些資源。 接受管理之後,所有層級的擁有者都可使用 PIM 功能,包括管理群組、訂用帳戶、資源群組及資源。 如果您是全域管理員,且嘗試對 Azure 資源部署 PIM,則可以提高存取權來管理所有 Azure 訂用帳戶,讓自己可以存取想在目錄中探索的所有 Azure 資源。 不過,在以 PIM 管理資源之前,建議先取得每個訂用帳戶擁有者同意。
強制最低權限準則
請務必確定您已在組織中針對 Microsoft Entra ID 和 Azure 角色強制執行最低權限原則。
規劃最低權限委派
針對 Microsoft Entra 角色,常見組織將全域管理員角色指派給許多管理員,但大部分管理員只需要一兩個特定且權限較低的管理員角色。 如果有大量的全域系統管理員或其他高權限角色存在,則難以緊密追蹤您對特殊權限角色的指派。
請遵循下列步驟來為 Microsoft Entra 角色實作最低權限原則。
請閱讀並了解可用的 Microsoft Entra 系統管理員角色,以了解角色的細微性。 您和小組也應該參考 Microsoft Entra ID 中依身分識別工作的管理員角色,其中說明特定工作的最低特殊權限角色。
列出組織中誰具有特殊權限角色。 您可以使用 PIM 探索和見解 (預覽) 來減少您的曝光率。
針對組織中的所有全域管理員,了解為何需要此角色。 然後,將人員從全域管理員角色中移除,並在 Microsoft Entra ID 內指派較低權限的內建角色或自訂角色。 (僅供參考) Microsoft 目前只有 10 位系統管理員具有全域管理員角色。
對於其他所有 Microsoft Entra 角色,請檢閱指派清單,識別不再需要此角色的管理員,然後移除指派。
若要將最後兩個步驟自動化,您可以在 PIM 中使用存取權檢閱。 您可以遵循「在 Privileged Identity Management 中為 Microsoft Entra 角色進行存取權檢閱」文章中的步驟,為每個具有一或多名成員的 Microsoft Entra ID 角色設定存取權檢閱。
將檢閱者設定為 [成員 (本身)]。 角色中的所有使用者都會收到一封電子郵件,要求使用者確認是否需要存取權。 此外,請開啟 [進階設定] 中的 [需要核准原因],讓使用者必須陳述需要角色的原因。 根據這項資訊,您就可以為使用者移除不必要的角色,或委派給更細微的系統管理員角色給使用者。
存取權檢閱依賴電子郵件通知人們檢閱對角色的存取權。 如果您有特殊權限帳戶未連結電子郵件,請務必在這些帳戶上填寫第二個電子郵件欄位。
規劃 Azure 資源角色委派
對於 Azure 訂用帳戶和資源,您可以設定類似的存取權檢閱流程,以檢閱每個訂用帳戶或資源中的角色。 此流程的目標是要讓連結至每個訂閱或資源的擁有者和使用者存取系統管理員指派減到最少,以及要移除不必要的指派。 不過,組織通常將這些工作委派給每個訂用帳戶或資源的擁有者,因為擁有者較了解特定角色 (特別是自訂角色)。
如果您擔任全域管理員角色,且嘗試對組織中的 Azure 角色部署 PIM,則可以提高存取權來管理所有 Azure 訂用帳戶,以存取每個訂用帳戶。 然後,您可以尋找每個訂用帳戶擁有者,一起合作移除不必要的指派,以盡量減少擁有者角色指派。
如果使用者擔任 Azure 訂用帳戶的擁有者角色,則也可以使用 Azure 資源的存取權檢閱,以稽核並移除不必要的角色指派,類似於先前針對 Microsoft Entra 角色所述的流程。
決定要讓 Privileged Identity Management 保護哪些角色指派
在您清除組織中的特殊權限角色指派之後,您必須決定要使用 PIM 保護哪些角色。
如果角色受 PIM 保護,則有資格指派為此角色的使用者必須提升,才能使用此角色授與的權限。 提高權限的流程也可能包含取得核准、使用 Azure 多重要素驗證,以及提供權限啟用的原因。 PIM 也可以透過通知及 PIM 和 Microsoft Entra 稽核事件記錄檔,以追蹤權限提高。
可能不容易選擇哪些角色由 PIM 保護,且每個組織的決定都不一樣。 在本節中,會提供我們對於 Microsoft Entra 角色與 Azure 角色的最佳做法。
Microsoft Entra 角色
請務必優先保護具有最多權限的 Microsoft Entra 角色。 根據所有 PIM 客戶的使用模式,PIM 管理的前 10 個 Microsot Entra 角色如下:
全域管理員
安全性系統管理員
使用者管理員
Exchange 系統管理員
Sharepoint 系統管理員
Intune 管理員
安全性讀取者
服務管理員
計費管理員
商務用 Skype 系統管理員
提示
Microsoft 建議您使用 PIM 作為管理所有全域系統管理員和安全性系統管理員的第一個步驟,因為這些使用者是遭到入侵時會造成最大損害的人員。
請務必考量您組織中最敏感的資料與權限。 例如,某些組織想用 PIM 保護其 Power BI 系統管理員角色或其小組系統管理員角色,因為這些角色可以存取資料和變更核心的工作流程。
如果有任何指派了來賓使用者的角色,這些角色將很容易受到攻擊。
提示
Microsoft 建議您使用 PIM 來管理所有具有來賓使用者的角色,以降低來賓使用者帳戶遭到入侵時所可能衍生的相關風險。
讀者角色 (例如目錄讀者、訊息中心讀者以及安全性讀者) 有時會被視為較其他角色不重要,因為這些角色沒有寫入權限。 不過,我們的某些客戶也會保護這些角色,因為具有這些帳戶存取權的攻擊者可能會讀取敏感性資料,包括個人資料。 在決定是否要使用 PIM 管理組織中的讀者角色時,請考慮這項風險。
Azure 角色
在為 Azure 資源決定哪些角色指派應使用 PIM 加以管理時,您必須先找出對您的組織而言最重要的訂閱/資源。 這些訂用帳戶/資源的例子如下:
- 裝載最敏感資料的資源。
- 與使用者互動之核心應用程式所依賴的資源。
如果您是全域系統管理員,但無法決定哪些訂閱和資源最重要,您應該連絡組織中的訂閱擁有者,以收集每個訂閱所管理的資源清單。 然後,與訂閱擁有者合作,根據這些資源遭到入侵時的嚴重性等級 (低、中、高) 來將這些資源分組。 請根據此嚴重性等級來設定使用 PIM 管理資源的優先順序。
提示
Microsoft 建議與重要服務的訂用帳戶/資源擁有者合作,一起為敏感性訂用帳戶/資源內的所有角色設定 PIM 工作流程。
Azure 資源的 PIM 支援有時限的服務帳戶。 在處理服務帳戶時,其方法應與處理一般使用者帳戶時完全相同。
對於不重要的訂用帳戶/資源,您不需要為所有角色設定 PIM。 不過,您還是應該以 PIM 保護擁有者和使用者存取管理員角色。
提示
Microsoft 建議您使用 PIM 來管理所有訂閱/資源的擁有者角色和使用者存取系統管理員角色。
決定是否要使用群組來指派角色
決定是否要將角色指派給群組而非個別使用者,是一項策略性決策。 在規劃時,請根據下列情況,考量是否要將角色指派給群組以管理角色指派:
- 多名使用者皆指派單一角色。
- 您想要委派指派角色。
多名使用者皆指派單一角色
親自追蹤獲指派角色的人員,並根據人員需要角色的時間來管理指派,可能相當耗費時間。 若要為群組指派角色,請先建立可指派角色的群組,然後將該群組指派為符合角色的資格。 此動作可讓群組中的所有人員,使用與可提升為角色的個別使用者進行相同的啟用流程。 群組成員會使用 PIM 啟用要求和核准流程,來個別啟用對群組的指派。 群組並不會啟用,而只會啟用使用者的群組成員資格。
您想要委派指派角色
群組擁有者可以管理群組的成員資格。 針對可指派 Microsoft Entra ID 角色的群組,只有特殊權限角色系統管理員、全域系統管理員和群組擁有者可以管理群組成員資格。 當管理員將新成員新增至群組時,該成員即可存取指派給群組的角色,而不論指派為合格還是有效。 使用群組擁有者來委派管理已指派角色的群組成員資格,可減少必要權限的範圍。
提示
Microsoft 建議您使用 PIM 管理可指派 Microsoft Entra ID 角色的群組。 由 PIM 管理可指派角色的群組之後,該群組就稱為「特殊權限存取群組」。 使用 PIM 要求群組擁有者先啟用其擁有者角色指派,才能管理群組成員資格。
決定哪些角色指派應該為永久或合格
決定要由 PIM 管理的角色清單之後,您必須決定哪些使用者應該取得合格角色或永久有效的角色。 永久有效的角色是透過 Microsoft Entra ID 和 Azure 資源指派的一般角色,符合資格的角色則只能在 PIM 中指派。
Microsoft 建議您除了建議的兩個緊急存取帳戶外,Microsoft Entra 角色和 Azure 角色不要有永久有效的指派,因為這些帳戶應該有永久的全域管理員角色。
雖然建議不要有永久管理員,但組織有時很難立即做到這一點。 進行這項決策時需要考量的事項包括:
權限提高的頻率 – 如果使用者只需要一次特殊權限指派,則不應該有永久性指派。 反之,如果使用者在日常工作中需要此角色,而且使用 PIM 會大幅降低生產力,則可以考慮永久性角色。
組織特有情況:如果獲得合格角色的人員來自位處遠方的小組或其身分是高階主管,而讓溝通和強制執行提高權限的程序變得困難,則可以考慮讓其擁有永久性角色。
提示
對於有永久性角色指派的使用者,Microsoft 建議設定週期性存取權檢閱。
草擬您的 Privileged Identity Management 設定
實作 PIM 解決方案之前,最好為組織使用的每個特殊權限角色擬定 PIM 設定。 本節會提供特殊角色的部分 PIM 設定範例,這些範例僅供參考,並且可能與您組織的設定有所不同。 表格下方詳細解釋每個設定,還有 Microsoft 的建議。
適用於 Microsoft Entra 角色的 Privileged Identity Management 設定
| 設定 | 全域管理員 | Exchange 系統管理員 | 服務台系統管理員 |
|---|---|---|---|
| 需要 MFA 雙步驟驗證 | Yes | .是 | No |
| 通知 | Yes | .是 | No |
| 事件票證 | 是 | 無 | Yes |
| 需要核准 | 是 | 無 | No |
| 核准者 | 其他全域管理員 | 無 | 無 |
| 啟用持續時間 | 1 小時 | 2 小時 | 8 小時 |
| 永久管理員 | 緊急存取帳戶 | 無 | 無 |
Azure 角色的 Privileged Identity Management 設定
| 設定 | 重要訂用帳戶的擁有者 | 較不重要訂用帳戶的使用者存取管理員 | 虛擬機器參與者 |
|---|---|---|---|
| 需要 MFA 雙步驟驗證 | Yes | .是 | No |
| 通知 | Yes | .是 | Yes |
| 需要核准 | 是 | 無 | No |
| 核准者 | 訂用帳戶的其他擁有者 | 無 | 無 |
| 啟用持續時間 | 1 小時 | 1 小時 | 3 小時 |
| 作用中管理員 | 無 | None | 無 |
| 作用中到期 | n/a | n/a | n/a |
下表說明每個設定。
| 設定 | 說明 |
|---|---|
| 角色 | 角色的名稱,表示您定義此角色的設定。 |
| 需要 MFA 雙步驟驗證 | 合格使用者啟用角色之前,是否需要執行 MFA 雙步驟驗證。 |
| Microsoft 建議對所有管理員角色啟用 MFA 雙步驟驗證,特別是角色有來賓使用者時。 | |
| 通知 | 如果設定為 true,當合格使用者啟用角色時,組織中的全域管理員、特殊權限角色管理員和安全性系統管理員會收到電子郵件通知。 |
| 某些組織的管理員帳戶沒有相關的電子郵件地址。 若要取得這些電子郵件通知,請設定替代的電子郵件地址,讓系統管理員能夠收到這些電子郵件。 | |
| 事件票證 | 合格使用者啟用角色時,是否需要記錄事件票證號碼。 此設定協助組織以內部事件號碼來識別每次啟用,以減少不必要的啟用。 |
| Microsoft 建議您利用事件票證號碼,以將 PIM 繫結至內部系統。 此方法對於需要知道啟動情境的核准者會相當有幫助。 | |
| 需要核准 | 合格使用者是否需要獲得核准才能啟用角色。 |
| Microsoft 建議您為具有最多權限的角色設定核准機制。 根據所有 PIM 客戶的使用模式,全域管理員、使用者系統管理員、Exchange 系統管理員、安全性系統管理員及密碼管理員等,是最常見需要核准的角色。 | |
| 核准者 | 如果需要核准才能啟動符合資格的角色,請列出負責核准要求的人員。 根據預設,PIM 會將核准者設定為所有屬於特殊權限角色系統管理員 (無論其為永久性或符合資格的系統管理員) 的使用者。 |
| 如果使用者同時符合 Microsoft Entra 角色和角色核准者的資格,則無法核准自己。 | |
| Microsoft 建議您在選擇核准者時,尋找最了解該角色且為其經常性使用者的人員,而不是找全域系統管理員。 | |
| 啟用持續時間 | 在角色中啟用使用者之後,到期之前的時間長短。 |
| 永久管理員 | 擔任角色永久管理員的使用者清單 (永遠不必啟用)。 |
| 全域管理員除外,Microsoft 建議所有角色都不要有永久管理員。 | |
| 作用中管理員 | 對於 Azure 資源,作用中管理員代表一組使用者永遠不必啟用即可使用角色。 此清單並非像 Microsoft Entra 角色中的永久系統管理員,因為您可以設定使用者會失去此角色的到期時間。 |
| 作用中到期 | Azure 角色的有效角色指派會在經過設定的持續時間之後到期。 您可以選擇 15 天、1 個月、3 個月、6 個月、1 年或永久啟用。 |
| 規則到期 | Azure 角色的合格角色指派會在經過此持續時間之後到期。 您可以選擇 15 天、1 個月、3 個月、6 個月、1 年或永久有效。 |